え、そんなにもらっているの? CISOというリスクはあるが“もうかる仕事”:Cybersecurity Dive
CISOの約70%は実績に基づいて昇給している。サイバー攻撃が激化する中、その需要も高まっているようだ。ただし、CISOという役職にはそれ相応のリスクもある。
調査企業であるIANS ResearchとArtico Searchが実施した報酬に関する調査によると(注1)、景気の不確実性から新たな幹部の採用に関する需要は引き続き鈍化しており、2024年上半期のCISO(最高情報セキュリティ責任者)の離職率は低い水準にとどまった。CISOの年間交代率は2023年が12%、2022年が21%だったのに対し、2024年の上半期は11%だった。
約7割が昇給 CISOというリスクはあるが“もうかる仕事”
基本給やボーナス、株式を含むCISOの平均報酬は年間56万5000ドル(日本円換算で7480万円)で、中央値は40万3000ドルだ。上位10%のCISOは年収100万ドル以上であり、上位1%は年収300万ドル以上だ。
調査対象となったCISOの約70%は実績に基づいて昇給しており、基本給は平均5.6%増加し、総報酬は6.3%増加している。一方、転職したCISOは、報酬が平均で31%上昇したと報告されている。この報告は、2024年4〜8月にかけて実施された755人のセキュリティエグゼクティブを対象とした調査に基づいている。
報告書では、景気に対する懸念がCISOの転職市場や報酬に影響を与えていることが強調されている。
IANSのニック・カコロウスキー氏(シニアリサーチディレクターで)は、電子メールで次のように述べている。
「雇用市場には勢いがない。CISOは職場に長くとどまり、企業は採用に慎重になっている」
カコロウスキー氏によると、サイバーセキュリティは企業にとってますます重要な課題となっており、市場は比較的安定しているという。また、雇用市場が再び活気を帯び始めている兆しも見られる。
CISOの報酬におけるもう一つの大きな変化は、個人の賠償責任に関する保護だ。CISOの約40%は、通常は経営幹部向けに提供される保険の恩恵を受けている。
「より多くのCISOが取締役および役員向けの保険への加入を求めており、そうでない場合には、補償条項や個人責任保護などの代替手段を探している」(カコロウスキー氏)
近年、企業のサイバーセキュリティリスクに関する透明性を強化するため、連邦規制当局はCISOへの監視を強めている。
IT管理ソフトウェアを提供するSolarWindsと、同社のCISO(最高情報セキュリティ責任者)であるティム・ブラウン氏は(注1)、国家から支援を受けたハッカーによる大規模なサプライチェーン攻撃に関連する開示について、詐欺の疑いでアメリカ証券取引委員会(SEC)から民事訴訟を提起されている。
また別のケースでは、Uberの元CSO(最高戦略責任者)がランサムウェアに関する支払いを隠蔽(いんぺい)し、連邦取引委員会(FTC)への報告を怠ったとして(注3)、連邦裁判所で有罪判決を受けている。
(注1)Access Key CISO Comp Data and Trends: Our CISO Comp Report is Live!(IANS)
(注2)SEC charges SolarWinds, its CISO with fraud(Cybersecurity Dive)
(注3)Former Uber CSO avoids prison time for ransomware coverup(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。世界中のLinuxサーバを狙うステルス型マルウェア「perfctl」が登場 検出方法は?
Aqua SecurityはLinuxサーバを標的にする新しいステルス型のマルウェア「perfctl」を発見した。perfctlはシステム内で自身を隠蔽する高度な能力を持っており、システム管理者らの検出を回避する動きを見せるという。企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。